Granskning av konceptet ”Double Key Encryption” : En riskanalys utförd på en datakrypteringstjänst

Brandt, Clemens, Mollgren, Theodor

January 2023

Detta arbete bedömer risker associerade med implementeringen av en modifierad licensierad produkt, känd som Double Key Encryption (DKE), som tjänar till att kryptera interna dokument. DKE är en metodik framtagen av Microsoft, vilken kräver två nycklar för att dekryptera data. En av dessa nycklar innehas av tjänstägaren medan den andra tillhandahålls av Microsoft. En Managed Security Service Provider (MSSP) har givit uppdraget att utföra en riskanalys av deras befintliga DKE-tjänst för att identifiera potentiella sårbarheter och hot, vilka kan ha en inverkan på tjänstens prestanda och säkerhet. Analysen finner risker kopplade till tekniska säkerhetsbrister, underhåll och uppgradering av tjänsten, personalrelaterade risker, samt risker förknippade med användning.Studien identifierar totalt 10 olika hotscenarion, inklusive risk för stöld av DKE-nycklar, sårbarheter inom koden, möjlighet för attacker mot ohärdade DKE-servrar, samt risker associerade med underhåll och uppgradering av DKE-tjänsten. Andra risker inkluderar förlust av kunskap i samband med personalomsättning och användarrisker gällande potentiell överträdelse av lagar och regler. Riskutvärderingen genomförs genom att bedöma sannolikhet och konsekvens. Sannolikheten bedöms med hjälp av expertutlåtanden, medan konsekvensen bedöms baserat på potentiell skada på företagets rykte, ekonomisk påverkan och eventuella juridiska konsekvenser. Avslutningsvis kopplas identifierade risker till de tre grundläggande aspekterna av informationssäkerhet: konfidentialitet, integritet och tillgänglighet. En betydande mängd risker kategoriseras inom området för tillgänglighet, som utforskas ytterligare i arbetets diskussion. / The report assesses risks associated with the implementation of a modified licensed product ofMicrosoft’s Double Key Encryption (DKE), which serves to encrypt internal documents. DKE is a methodology developed by Microsoft that requires two keys to decrypt data. One key is held by the service provider while the other is provided by Microsoft. An MSSP has entrusted the authors with the task of conducting a risk analysis of their existing DKE service to identify potential vulnerabilities and threats that may impact the performance and security of the service. The analysis identifies risks related to technical security flaws, service maintenance and upgrades, personnel-related risks, and risks associated with usage. The study identifies a total of 10 risk scenarios, including risk of DKE key theft, vulnerabilities within the code, the possibility of attacks against non-hardened DKE servers, as well as risks associated with service maintenance and upgrades. Other risks include the loss of knowledge due to personnel turnover and user risks concerning potential violations of laws and regulations. The risk assessment is conducted by evaluating likelihood and consequences. Likelihood is assessed using expert opinions, while consequences are assessed based on potential harm to the company's reputation, financial impact, and potential legal consequences. In conclusion, the report links the identified risks to the three fundamental aspects of information security: confidentiality, integrity, and availability. A significant number of risks are categorized within the realm of availability.

Double key encryption

Encryption

Case Study

Risk Analysis

Risk Assessment

Information Security

Kryptering

Fallstudie

Riskanalys

Riskutvärdering

Informationssäkerhet

Engineering and Technology

Teknik och teknologier